Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Phân biệt IPS, IDS, IDP

    Theo mình biết thì
    IPS: Intrusion Prevention System : hệ thống ngăn chặn xâm nhập
    IDS: Intrusion Detection System : hệ thống phát hiện xâm nhập
    IDP: Intrusion Detection Prevention : hệ thống phát hiện và ngăn chặn xâm nhập
    Mình có 1 số thắc mắc như sau:
    1. Như vậy thì cái IDP = IPS+IDS không vậy?
    2. Nhưng theo mình đọc được trên mạng thì cái IPS cũng phải phát hiện rồi mới ngăn chặn. Như vậy IPS, IDP có phải là 2 thuật ngữ khác nhau?
    3. Nếu khác nhau thì có phải IDP là tốt nhất không?
    4. Thường thì người ta đặt IPS(IDS, IDP) sau firewall, điềunày có đúng không vậy? Và đặt nhiều cái trong hệ thống mạng.
    Thông cảm, mình mới tìm hiểu nên không được rõ lắm :D
    Tags: None
  • #2
    theo thực tế mình hiểu thì IDS là tên một loại thiết bị của cisco . chẳng hạn như IDS4210 . mỗi dòng thì có một đặc điểm riêng . IPS thì mình nghĩ rằng đây là tên IOS để chạy trên IDS.
    vị trí đặt IDS có 2 vị trí : host base và network base. host base thì không có chức năng ngăn chặn đuợc . đơn giản đó chỉ là monitor thiết bị mạng thôi. còn network base thì có khả năng ngăn chặn được các cuộc tấn công chẳng hạn như DDOS.

    Comment

    • #3
      Originally posted by alvin88 View Post
      Theo mình biết thì
      IPS: Intrusion Prevention System : hệ thống ngăn chặn xâm nhập
      IDS: Intrusion Detection System : hệ thống phát hiện xâm nhập
      IDP: Intrusion Detection Prevention : hệ thống phát hiện và ngăn chặn xâm nhập
      Mình có 1 số thắc mắc như sau:
      1. Như vậy thì cái IDP = IPS+IDS không vậy?
      2. Nhưng theo mình đọc được trên mạng thì cái IPS cũng phải phát hiện rồi mới ngăn chặn. Như vậy IPS, IDP có phải là 2 thuật ngữ khác nhau?
      3. Nếu khác nhau thì có phải IDP là tốt nhất không?
      4. Thường thì người ta đặt IPS(IDS, IDP) sau firewall, điều này có đúng không vậy? Và đặt nhiều cái trong hệ thống mạng.
      Thông cảm, mình mới tìm hiểu nên không được rõ lắm :D
      IPS: nằm trên đường đi của dữ liệu,chủ động, nên có thể ngăn chặn trước khi bị tấn công. Vì nằm trên đường đi nên để chặn được nhiều dòng dữ liệu đi qua thì nó có thể cần nhiều interface.
      IDS: ngồi một chỗ để monitor mạng (bị động), vì không nằm trực tiếp trên đường đi của dữ liệu, nó chỉ có thể ngăn chặn sau khi đã phát hiện được tấn công, Vì chỉ cần monitor nên nó thường chỉ cần 1 interface. Nó ngăn chặn bằng cách gửi TCP reset về source bị tấn công chẳng hạn.Vì môi trường SW không thể bắt gói packet trực tiếp được, nên yêu cầu là SW phải hỗ trợ chức năng monitor port thì IDS mới monitor traffic trong mạng được.

      Nhưng bây giờ hai khái niệm này nhạt nhòa lắm, nó đều có chức năng ngăn chặn và phát hiện tấn công, chứ không rõ ràng như lúc trước nữa. IPS có chức năng của IDS luôn, nếu muốn thiết bị IPS làm IDS thì ta chỉ việc không cho nó chặn packet mà chỉ phát sinh ra các cảnh báo.

      Đặt trước hay sau firewall đều được, nhưng tốt hơn nên đặt sau firewall để các cảnh báo phát sinh ra ít, dễ dàng theo dỏi hơn.
      Last edited by phamminhtuan; 24-05-2009, 10:41 AM.
      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org      		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment

      • #4
        Bổ sung 1 số thông tin ....
        IDS: 1 khái niệm cũ dùng để chỉ những thiết bị có khả năng phát hiện ra các cuộc tấn công, tuy nhiên để ngăn chặn thì phải kết hợp với những thiết bị khác như firewall, NAC...
        IPS: khái niệm mới, thay thế cho IDS, vừa có khả năng phát hiện vừa tự động ngăn chặn nếu phát hiện đang bị tấn công.
        IDP: thực ra chính là IPS, đây là thuật ngữ có bản chất tương tự IPS do Juniper network đưa ra, ám chỉ khả năng (phát hiện + ngăn chặn) của thiết bị.
        Vị trí của IPS trong mạng là tùy thuộc vào mục đích sử dụng:
        - Trước firewall: Hạn chế khả năng bị tấn công, đặc biệt là các tấn công thuộc dạng DoS, DDoS. Nhược điểm là làm phát sinh nhiều log khiến việc quản trị gặp khó khăn.
        - Sau firewall : dạng này thường thấy hơn vì vị trí này làm giảm phát sinh log, tuy vậy cũng làm giảm hiệu quả đối với những hệ thống hay bị tấn công DoS, DDoS.
        Nếu hệ thống trang bị nhiều lớp ("nhiều cái") thì thường sử dụng thiết bị từ nhiều hãng khác nhau. Tuy nhiên, trong trường hợp này cần cân nhắc đến khả năng quản trị tập trung các thiết bị này!

        Comment

        • #5
          Xin cho em hỏi,
          Firewall và IPS đều có khả năng ngăn chặn. Vậy các dòng sản phẩm Firewall và IPS của cisco khác nhau như thế nào

          Comment

          Previous template Next
          Working...
          X